. Les virus de la nouvelle génération sont furtifs . La technique ne suffit pas à lutter contre la vulnérabilité C’est un mal très redouté, car il peut frapper à tout moment et causer la paralysie de l’économie d’une région, voire de la planète. Il s’agit de l’attaque du système informatique, avec, pour corollaire, la perte de données qui sont parfois vitales pour la poursuite de l’activité d’une entreprise. La recrudescence des attaques due essentiellement à la généralisation d’Internet et le perfectionnement des techniques d’intrusion compliquent la tâche des éditeurs de logiciels, des cabinets conseil en sécurité ainsi que des DSI (directions des systèmes d’information). Pour sensibiliser aux menaces qui pèsent sur la sécurité de l’information et apporter des réponses aux interrogations des professionnels, l’Ecole marocaine d’informatique électronique automatique (EMIAE) a organisé une table ronde à laquelle ont été conviés des responsables de la sécurité informatique ainsi que des experts étrangers. (1) Le nœud gordien de la problématique de sécurité des systèmes d’information est l’asymétrie qui caractérise les rapports de force entre les hackers qui perfectionnent leurs modes opératoires et les entreprises qui se trouvent de plus en plus vulnérables. «C’est souvent l’attaqué qui est perdant, car sa réponse intervient généralement après la contamination de la base de données», constate Eric Filiol, chef du laboratoire de virologie et de cryptologie de l’Ecole supérieure d’application et des transmissions (Esat). Des attaques spectaculaires couvrant l’ensemble de la planète ont montré à quel point les stratégies de défense sont vulnérables. Les logiciels antivirus n’ont pas à ce jour prouvé leur efficacité à contrecarrer la propagation rapide de virus qui se sont rapidement propagés pour toucher les quatre points de la planète. Face au «ver Sapphire/Slammer», la planète n’a eu son salut que grâce à l’erreur commise par le pirate lors de la composition du code. Cette marge d’erreur est laminée par la naissance d’une nouvelle génération de virus plus insidieux, dits «furtifs». Leur capacité dévastatrice est plus grande au regard de la difficulté de les repérer, y compris par les logiciels antivirus les plus évolués. Même Microsoft, «roi des logiciels», a déclaré forfait devant l’ingéniosité des tactiques d’attaque actuelles. Son logiciel, le plus vendu au monde, est très perméable aux virus. D’après les experts, les éditeurs de logiciels sont en retard d’une guerre. «Les failles dans les systèmes de défense sont rapidement détectées par les hackers», explique Filiol. La contamination est-elle pour autant une fatalité? La technique ne peut malheureusement pas apporter une réponse satisfaisante aux besoins de sécurité qui ne cessent de croître, concède le spécialiste. Seule la prise en compte de la dimension humaine permet de minimiser les risques. Cela se traduit par une sensibilisation du personnel et une meilleure organisation en interne. Il s’agit en fait d’un retour à une approche plus classique de la sécurité, privilégiant le bon sens. De simples mesures de prévention telles que la mise à jour des antivirus, l’isolation des postes sensibles ainsi que la filtration de l’information extérieure permettent d’éviter le pire.
La certification: un rempart?Pour se rassurer, plusieurs entreprises préfèrent formaliser les procédures en ayant recours à la certification. La norme-phare est l’ISO 27.001, qui vise à mettre en place et à améliorer le système de management de la sécurité de l’information (SMSI). Elle doit à terme non seulement fournir une protection des actifs d’information mais aussi la maintenir et l’améliorer. Seulement les organismes d’accréditation ne se valent pas. «Pour faire prospérer leur business, certains organismes font preuve d’une certaine flexibilité qui n’est pas toujours à l’avantage du client», met en garde Hervé Schauer, consultant en sécurité informatique. Question sans doute de saler encore plus la note des honoraires. Plus embarrassant encor: la collusion entre acteurs censés agir indépendamment. C’est ainsi que les organismes accréditeurs peuvent débaucher les auditeurs des organismes d’accréditation, tandis que ces derniers débauchent dans les cabinets conseil ou dans les entreprises qu’ils sont censés auditer. On retrouve là un schéma d’incompatibilité absolue. Les sphères de compétence ne sont donc plus clairement délimitées. Les organismes accréditeurs, attirés par l’appât du gain, se sont lancés dans le conseil et livrent une rude concurrence aux cabinets spécialisés. Pour contourner la loi qui leur interdit le conseil, ils proposent aux entreprises le pré-audit. Ce dernier consiste à établir un diagnostic du niveau de la sécurité de l’information au sein d’une entreprise et à donner des recommandations d’amélioration au management.
La Marocaine des Jeux estampillée ISO 27.0001Au Maroc, La Marocaine des Jeux et des Sports est en passe d’être certifiée ISO 27.001. La société a initié une politique de sécurisation de l’information dans laquelle le personnel a été impliqué. Sa pierre angulaire a été la mise en place en 2002 de la gestion de la connaissance «knowledge management». «Nous avons accordé une importance particulière à la variable humaine, parce qu’elle est primordiale pour la réussite d’une mise à niveau de la sécurité de l’information», affirme Najib Benchekroun, responsable de la Sécurité informatique à La Marocaine des Jeux. L’entreprise a fait appel à l’organisme norvégien BVN pour son audit de certification. Cette expérience unique occulte mal le retard des entreprises marocaines en matière de sécurisation de l’information. La majorité n’est pas bien organisée pour faire face aux risques qui ne cessent de s’amplifier.
Avis d’expert: Le pire est à venirEric Filiol dirige le laboratoire de virologie et de cryptologie de l’Ecole Supérieure et d’Application des Transmission à Rennes (ENST). Il est aussi éditeur en chef de la revue internationale de virologie Journal in Computer Virology.
L’Economiste: Quelle menace pèse aujourd’hui sur les systèmes d’information? - Eric Filiol: Jusqu’en 2003, il y a eu de grandes attaques très médiatisées qui ont bouleversé la planète. Depuis, les hackers opèrent discrètement en utilisant des virus furtifs. Ce mode opératoire est très dangereux car il neutralise les défenses de la victime.Les antivirus arrivent de moins en moins à endiguer les attaques, ce qui laisse craindre le pire pour les années à venir.Les groupes de mafia surtout en Europe de l’Est en font un fonds de commerce juteux. Le caractère virtuel des attaques est le vrai défi pour les responsables de la sécurité de l’information et pour l’instant, les géants de l’informatique tels que Microsoft restent impuissants face aux nouvelles méthodes des hackers.
Dans ce cas, est-il possible de minimiser les risques?-Aujourd’hui la technique est incapable, à elle seule, de prévenir les effets dévastateurs d’une attaque. D’où l’importance de la gestion en amont. Le plus intelligent est d’agir en priorité sur l’environnement afin d’éviter que les attaques n’atteignent leur cible. Une bonne organisation en interne est un préalable à toute politique de sécurité efficiente. Cela se fait par le filtrage de l’information extérieure au système ainsi que la mise à jour des logiciels contre la vulnérabilité. En somme, il faut revenir à une approche plus classique de la sécurité basée sur des réflexes de bon sens.
Qu’en est-il de la sécurité d’information au Maroc ?- Le Maroc est connu pour abriter des hackers de qualité. Ils se sont particulièrement manifestés lors de la guerre au Liban en attaquant des sites israéliens. Pour l’instant, il ne fait pas l’objet d’attaques d’envergure, mais il ne faut pas s’endormir sur ses lauriers car le danger est latent. Le meilleur rempart contre le risque est d’investir dans l’élément humain ce qui est loin de se vérifier sur le terrain. Quant au volet technique, le problème est de nature économique plus q’autre chose. La dernière génération des logiciels antivirus demeure encore hors de portée d’une grande partie des PME. M. Ek. -----------------------------------------------------------------------------------------(1) La conférence a eu lieu le 1er novembre à Casablanca.
